國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞178個，互聯網上出現“WUZHI CMS SQL注入漏洞（CNVD-2022-36985）、Bludit CMS跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

與民同心 中國銀聯助力守護百姓“錢袋子”

在中國人民銀行和公安部的指導下，中國銀聯攜手商業銀行等產業機構，深化聯防聯控措施，積極應對犯罪手法新變化。>>詳細

精準識詐及時攔截，避免客戶大額損失

守住本心不貪小利！不親信所謂的“高額刷單返利”“網絡薦股”“網絡彩票”等謊言。記得想想反詐“靈魂八問”！動動手指就能賺錢的好事為何就輪到了你？>>詳細

【警惕】超前消費一時爽，納入失信悔斷腸

伴隨著支付手段的推陳出新，形形色色的消費貸產品也層出不窮，如果不堅守理性消費的防線，個人債務的雪球將越滾越大，甚至陷入某些金融陷阱之中。>>詳細

消保 | 征信修復是騙術，守住你的錢袋子

“征信修復”是騙術！既不靠譜又涉嫌違規違法。>>詳細

數字金融生態“版本”更新快 CFCA為金融機構刷新“晉級裝備”

CFCA從數據通信安全、無紙化電子簽約、數據存儲安全、基礎服務應用、信息安全服務、區塊鏈存證及司法服務等方面實踐出一套適用于金融行業數字化轉型，集產品與服務為一體的解決方案，所涉及產品完全符合政策法規、金融標準化以及國密改造要求。>>詳細

【警惕】電信詐騙花樣多，保護資金需警惕！

新型詐騙花樣多，不理不睬不給錢，不明電話及時掛，可疑信息不要回，積極提供犯罪線索, 嚴厲打擊電信詐騙犯罪！>>詳細

消保微課堂||之加強農村金融知識普及 當心洗腦被忽悠

做好防范和處置非法集資工作事關人民群眾切身利益，事關國家金融安全和社會穩定，也是打好防范化解重大風險攻堅戰的重要任務之一。>>詳細

【以案說險】不升級就注銷？警惕電子社?？ㄔp騙！

社保詐騙“套路深，騙子為了“沖業績”，花樣不斷升級，大家一定要提高警惕。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年5月9日-15日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞178個，其中高危漏洞67個、中危漏洞92個、低危漏洞19個。漏洞平均分值為5.88。上周收錄的漏洞中，涉及0day漏洞86個（占48%），其中互聯網上出現“WUZHI CMS SQL注入漏洞（CNVD-2022-36985）、Bludit CMS跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Mozilla產品安全漏洞

Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。Mozilla Firefox是一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導致內存損壞等。

CNVD收錄的相關漏洞包括：Mozilla Firefox跨站腳本漏洞（CNVD-2022-36976）、Mozilla Firefox欺騙攻擊漏洞、Mozilla Firefox無限循環漏洞、Mozilla Firefox資源管理錯誤漏洞（CNVD-2022-36980）、Mozilla Firefox安全特征問題漏洞、Mozilla Firefox MessageTask資源管理錯誤漏洞、Mozilla Thunderbird信息泄露漏洞（CNVD-2022-36982）、Mozilla Firefox信息泄露漏洞（CNVD-2022-36981）。其中，“Mozilla Firefox安全特征問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品。IBM Cloud Pak System是美國IBM公司的一套具有可配置、預集成軟件的全棧、融合基礎架構。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品。IBM Security Guardium Data Encryption是美國IBM公司的一個應用軟件。IBM MQ Appliance是美國IBM公司的一款用于快速部署企業級消息中間件的一體機設備。IBM Watson Query是美國IBM公司的一個通用查詢引擎。IBM Cloud Pak for Business Automation是美國國際商業機器公司（IBM）的一組模塊化的集成軟件組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞解密敏感信息，枚舉賬戶憑證，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Robotic Process Automation授權問題漏洞、IBM Cloud Pak System加密問題漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption（GDE）跨站腳本漏洞、IBM MQ Appliance信息泄露漏洞（CNVD-2022-36975）、IBM MQ Appliance拒絕服務漏洞（CNVD-2022-36974）、IBM Watson Query with Cloud Pak for Data as a Service權限提升漏洞、IBM Cloud Pak for Business Automation訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

SIEMENS產品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。Desigo PXC4樓宇自動化控制器是為暖通空調系統控制而設計的。它是一款緊湊型設備，內置IOs，能夠通過額外的TX-IO模塊擴展到您的需要。Desigo PXC5是一款可自由編程控制器，用于BACnet系統級功能，如報警路由、系統范圍的調度和趨勢分析，以及設備監控。Desigo DXR2控制器是可編程的自動化站，以支持終端HVAC設備和TRA（全房間自動化）應用的標準控制需求。Desigo PXC3系列自動化站可用于功能性和靈活性要求更高的建筑。SICAM P850多功能測量裝置用于采集、可視化、評估和傳輸電氣測量變量，如交流電、交流電壓、頻率、功率、諧波等。SICAM P855多功能設備用于收集、顯示和傳輸測量的電氣變量，如交流電流、交流電壓、功率類型、諧波等。根據電能質量標準IEC 61000-4-30收集和處理測量值和事件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問設備的管理界面，在當前進程的上下文中執行代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens JT2Go和Teamcenter Visualization雙重釋放漏洞（CNVD-2022-36381）、Siemens JT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXR Devices遠程代碼執行漏洞、Siemens Desigo PXC和DXR Devices不受控制資源消耗漏洞、Siemens SICAM P850和SICAM P855 Devices跨站腳本漏洞（CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391）、Siemens SICAM P850和SICAM P855 Devices繞過身份驗證漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Solaris是美國甲骨文（Oracle）公司的一套UNIX操作系統。Oracle WebLogic Server是一款適用于云環境和傳統環境的應用服務中間件。Oracle MySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle Database Server是一套關系數據庫管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數據，執行任意代碼等。

CNVD收錄的相關漏洞包括：Oracle Solaris輸入驗證錯誤漏洞（CNVD-2022-36946）、Oracle WebLogic Server輸入驗證錯誤漏洞（CNVD-2022-36951）、Oracle MySQL InnoDB組件拒絕服務漏洞、Oracle Database Server輸入驗證錯誤漏洞（CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958）、Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-36955）。目前，廠商已經發布了上述漏洞的修補程序。

Delta Electronics DIAEnergie SQL注入漏洞（CNVD-2022-36031）

IDelta Electronics DIAEnergie是一個工業能源管理系統，用于實時監控和分析能源消耗、計算能源消耗和負載特性、優化設備性能、改進生產流程并最大限度地提高能源效率。上周，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Mozilla產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導致內存損壞等。此外，IBM、Siemens、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數據，在當前進程的上下文中執行代碼，造成拒絕服務等。另外，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀聯、中國光大銀行、渤海銀行、杭州銀行消保之聲、貴州銀行、泉州銀行、億聯銀行報道

責任編輯：韓希宇